Openssh的服务安全优化

Openssh的服务安全优化

ssh是应用层的安全协议，专为远程登陆会话和其他网络服务提供安全性的协议，利用ssh协议可以有效防止远程管理过程中的信息泄露问题。

连接方式：

ssh username@ip	文本模式的连接
ssh -X username@ip	图形方式的连接

注意：
第一次连接陌生的主机要建立认证的文件，所以会询问是否建立，需要输入yes.再次连接本台主机的时候，因为已经生成~/.ssh/know_hosts文件，所以不需要再次输入yes。

如何实现远程的连接

配置实验的环境
分别配置真机和虚拟机的ip地址

step1 查看真机ip地址

ip addr show br0   ##查看真机ip地址

step2虚拟机中设置ip

nm-connection-editor  ##设置虚拟机ip

详细步骤：Delete(删除原来的网卡)------->>Add(添加新的网卡)—>>Ethernet- - ->>>选择(eth0)- - ->>>IPv4 Settings- - ->>>填写Address(用本机ip的子网)- - ->>>填写Netmask- - ->>>点一下Gateway- - ->>>Save

step3 检测是否连接成功

ping IP		##ip为本机的ip地址

step4 修改主机名

hostnamectl set-hostname client.com 		##修改主机名为node1

step5清空环境

rm -rf /root/.ssh/								##删除root下.ssh文件内容

3.虚拟机硬件出问题时的解决

解决方法
1.切换到超级用户
2.用virt-manager 命令打开虚拟机控制器
3.选择对应的虚拟机
4.点灯泡 删除错误的网卡–>>Add Hardware 添加新的网卡（选择virtio）

注意此方法要在真机下进行操作。

sshd的密钥认证

配置环境
该实验用到了两台虚拟机，分别reset两台虚拟机，然后分别配置两台虚拟机的ip地址

step1 生成认证密钥

ssh-keygen 

注意：按回车直接储存到默认的位置
显示待输入的密钥存放文件，还会显示输入加密密钥的密码（输入的话需要输入大于四位的密码，回车默认无密码）

生成结果

这里的rsa.pub相当于锁，可以用来加密。rsa相当于密钥，拥有密钥的人可以开锁

step2.加密服务

ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]##加密sshd服务

对ip为172.25.254.55的虚拟机进行加密

加密成功的结果

step3加密后的认证测试

进入server的sshd_config配置文件关闭原始的密码认证方式

vim /etc/ssh/sshd_config  ##打开配置文件,把第78行yes改成no

重启sshd服务

systemctl restart sshd.service			##重启服务的命令

此时，远程登录server主机被拒绝（没有密钥所以被拒绝登录）

将密钥分发给desktop虚拟机

此时可以进行登录

修改网络的端口

setenforce 0
systemctl stop firewalld	##关闭火墙
netstat -antlupe grep sshd	##查看端口数字
vim /etc/ssh/sshd_config	##打开配置文件（在文件的17行修改端口数字）
systemctl restart sshd.service	##重启服务
netstat -antlupe grep sshd	##查看端口数字

注意：每次更改完配置文件后需要重启sshd服务使它生效。

sshd的安全设定

vim /etc/ssh/sshd_config ##打开配置文件
在该文件中修改：
设定可连接的 ip ListenAddress ip（在文件19行）
超级用户能否登陆 PermitRootLogin yes|no（在文件48行）
黑名单 DenyUsers
白名单 AllowUsers
注意：
1.修改配置文件后，必须用systemctl restart sshd.service重启服务，设定才会生效
2.将该行最前面的#（说明）删除，才能使后面的命令运行